一方向の信頼を介したNPS / RADIUS認証

一方向の信頼を持つ複数のフォレストのシナリオでRADIUS認証）を許可するようにWindowsネットワークポリシーサーバーを設定しようとしています。ユーザーを含む複数のドメイン（それぞれが単一のドメインフォレスト内）がありますアカウント、およびサーバーとサービスを備えた1つのドメイン「OPS」。OPSは他のドメインを信頼しますが、OPSは信頼しません。

ユーザーがOPSドメインの特定のグループにいるときにアクセスを許可するポリシーを使用してNPSを構成しました。これは、OPS\carlpettなどのドメインローカルユーザーには問題なく機能しますが、EXTAD\john.doeなどの別のドメインのアカウントを使用しようとすると、イベントID4402と説明でログに記録されたエラーが発生します。

ドメインEXTADで使用できるドメインコントローラーはありません。

情報イベント6274もログに記録され、拒否されたリクエストの詳細が示されます。理由は次のように設定されます。

NPSサーバーは、ハードウェアリソースが少ないか、ドメインコントローラーの名前を受信できなかったために使用できません。これは、ローカルコンピューターのセキュリティアカウントマネージャー（SAM）データベースの障害またはNTディレクトリサービス（NTDS）の障害が原因である可能性があります。 。

ただし、EXTADから複数のドメインコントローラーに接続できます。私はTest-NetConnection -Port 389 dc01.extad.domain.comと、多くの接続テストを行うMicrosofts PortQryツールの両方を試しました。

ドメインローカルアカウントを使用する場合、これはログに記録されます。

ドメインOPS用のドメインコントローラーad01.ops.domain.netとのLDAP接続が確立されます。

これは、LDAPのみが必要であることを示しているようですか？外部アカウントを使用しようとしているときに開いているTCP接続を確認すると、ポート389でドメイン内のドメインコントローラーへの接続が確立されていることがわかります。

何を試すべきかアイデアはありますか？ NPSサーバーを「RASおよびIASサーバー」グループに追加するためのいくつかの推奨事項を見てきましたが、それには双方向の信頼が必要なようです。